|
|||||||
|
|
|
 |
|
|
Strumenti |
27-09-2005, 10:15
|
#1 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Roma - Norge
Messaggi: 1354
|
Problema con un virus difficile da debellare
Tempo fa mi ha colpito un virus... non ricordo bene nemmeno come diavolo abbia fatto a entrare, dato che ho Outpost settato in modo che nemmeno mi chieda nulla poichè la protezione è massima. Solo che un giorno ho notato la solita stranezza bizzarra in Hijackthish e in msconfig nella sezione avvio, l'ho eliminata da entrambi e sembrava che il problema fosse risolto...
Invece tutt'altro! Molto spesso, quando avvio windows (non capita proprio tutte le volte), mi capita di vedere che la RAM occupata è tantissima (mi rimangono meno di 100 mega su 512 quando nella normalità me ne sono liberi più di 300... il che capirete che è molto limitante! Non riesco però purtroppo a trovare il virus... facendo uno scan col NOD32 mi trova alcuni file java ma mi dice che non riesce a eliminarli, e neanche mettendoli in quarantena le cose cambiano! Vi posto un log di hijackthis ora che le cose vanno "male" (nel senso che ho poca pochissima RAM). Logfile of HijackThis v1.99.0 Scan saved at 10.09.29, on 27/09/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Diskeeper\DkService.exe C:\WINDOWS\System32\GEARSec.exe C:\Programmi\NOD32\nod32krn.exe C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\PROGRA~1\FILECO~1\Stardock\SDMCP.exe C:\WINDOWS\System32\PGPsdkServ.exe C:\Programmi\WindowBlinds\wbload.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Programmi\NOD32\nod32kui.exe C:\Programmi\NetLimiter\NetLimiter.exe C:\Programmi\Daemon Tools\daemon.exe C:\Programmi\TweakNow PowerPack\RAM_XP.exe C:\Programmi\Winamp\winampa.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE C:\Programmi\MessengerPlus! 3\MsgPlus.exe C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Stardock\CursorXP\CursorXP.exe C:\PROGRA~1\Stardock\OBJECT~1\WindowFX\wfxload.exe C:\Programmi\Mozilla\Thunderbird\thundertray.exe C:\Programmi\Mozilla\Thunderbird\thunderbird.exe C:\PROGRA~1\MOZILLA\FIREFOX\FIREFOX.EXE C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\HijackThis!\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [nod32kui] C:\Programmi\NOD32\nod32kui.exe /WAITSERVICE O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\Daemon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\TweakNow PowerPack\RAM_XP.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programmi\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LogonStudio] "C:\Programmi\LogonStudio\logonstudio.exe" /RANDOM O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CursorXP] C:\Programmi\Stardock\CursorXP\CursorXP.exe O4 - HKCU\..\Run: [WindowFX] C:\PROGRA~1\Stardock\OBJECT~1\WindowFX\\wfxload.exe O4 - Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe O4 - Global Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download Using &BitSpirit - C:\Programmi\BitSpirit\bsurl.htm O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper\DkService.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\NOD32\nod32krn.exe O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: PGPsdkService - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
__________________
Nå har jeg kommet fra Norge !!!! I've been for a walk on a winter's day, I'd be safe and warm if I was in L.A. ... Quant'è bella giovinezza, che si fugge tuttavia; chi vuol esser lieto, sia: non si iscriva a ingegneria! |
|
|
|
27-09-2005, 10:24
|
#2 |
|
Senior Member
Iscritto dal: Feb 2002
Città: Discovery
Messaggi: 34710
|
controlla le voci SWF Catcher. per l'avvio controlla i programmi con jv16 e con lo stesso pulisci il registro.
 la versione di Hijack è vecchia.
__________________
Good afternoon, gentlemen, I'm a H.A.L. computer. |
|
|
|
|
27-09-2005, 10:33
|
#3 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
infatti è old...
cmq cominciare a togliere il msgplus che è meglio |
|
|
|
|
27-09-2005, 10:34
|
#4 | |
|
Senior Member
Iscritto dal: Oct 2001
Città: Roma - Norge
Messaggi: 1354
|
Quote:
Ora controllo i JV16
__________________
Nå har jeg kommet fra Norge !!!! I've been for a walk on a winter's day, I'd be safe and warm if I was in L.A. ... Quant'è bella giovinezza, che si fugge tuttavia; chi vuol esser lieto, sia: non si iscriva a ingegneria! |
|
|
|
|
|
27-09-2005, 10:35
|
#5 | |
|
Senior Member
Iscritto dal: Oct 2001
Città: Roma - Norge
Messaggi: 1354
|
Quote:
__________________
Nå har jeg kommet fra Norge !!!! I've been for a walk on a winter's day, I'd be safe and warm if I was in L.A. ... Quant'è bella giovinezza, che si fugge tuttavia; chi vuol esser lieto, sia: non si iscriva a ingegneria! |
|
|
|
|
|
27-09-2005, 10:37
|
#6 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
27-09-2005, 10:38
|
#7 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
posta qua i nome dei file che trova il nod
 cosi è + facile a capire di che cosa si tratti |
|
|
|
|
27-09-2005, 10:56
|
#8 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Roma - Norge
Messaggi: 1354
|
Allora... pare che il problema sia risolto...
msgplus è un file di Messenger Plus che è anche scritto sul sito viene riconosciuto come malaware ma malaware non lo è... (incrociamo le dita!) NOD32 rilevava dei file infetti all'interno di %AppData% (mi scoccio di srivere tutto il percorso tanto ci capiamo  ) all'interno della cartella di Java... Era inutile scriverveli perchè avevano dei nomi estremamente lunghi...In un "lampo di genio" mi è venuto in mente di CANCELLARE FISICAMENTE la cartella...ho riavviato e non ci sono più i problemi di RAM, e il caro vecchio NOD32 sta cercando invano se siano presenti altri virus... ma non sta trovando nulla, mentre prima li beccava subito i file in java... Grazie ragazzi!  Andrea
__________________
Nå har jeg kommet fra Norge !!!! I've been for a walk on a winter's day, I'd be safe and warm if I was in L.A. ... Quant'è bella giovinezza, che si fugge tuttavia; chi vuol esser lieto, sia: non si iscriva a ingegneria! |
|
|
|
|
27-09-2005, 11:06
|
#9 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
se installi gli sponsor contiene un malware/spyware dannoso 
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:35.
